Operan 7.23-versio paikkaa tietoturva-aukkoja

Ehkä. Tosin epäilen, että yhtä paljon asiaan vaikuttaa se, että yhtä isommassa määrässä ihmisiä sen todennäköisyys, että kaikki ovat järjestelmällisiä, huolellisia ja riittävän älykkäitä, on pieni. Yksittäiset heppulithan ovat tehneet aikas bugitonta softaa. (djb ja knuth tulee ekana mieleen.)

Silti voi miettiä, millaisiin ongelmiin keskittyy auditoinnissa ja testaamisessa eniten, ja minkä verran miettii etukäteen, mitä voi tapahtua. (="Tällainen ongelma _on_ mahdollinen softa-arkkitehtuurissa, miten sen eskaloitumista voitaisiin rajoittaa?")

Jaa-a, motivaatiota en tässä halua arvailla, mutta luulisi julkisuudella olevan jotain merkitystä työuralla ja firman maineen kannalta (Pynnönen on ollut aiemmin Network Solutionsilla, joka tekee tietoturvasoftaa; nykyisin näyttäisi pikaisen kotisivujen vilkaisun perusteella olevan ns. vapaa konsultti). Kenties luultua vähemmän kuitenkin: työhönottajat eivät välttämättä seuraa kaikkia oikeita foorumeita tai oleta niillä esiintymisen kertovan ihan kaikkea olennaista ihmisestä. Mainettaan onnistuu helposti kyllä julkisella esiintymisellä mustaamaan, mutta kloorivalkaisu onkin jo vaikeampaa.

Jotkut blackhateistähän väittävät, että tietoturvafirmat nimenomaan luovat pinnallisella pelottelulla (mm. full disclosure -policyilla) itselleen bisnestä, joka perustuu sen pelottelun luomiin illuusioihin (että suurin uhka ovat ne julkiseen keskusteluun päätyvät ongelmat, vaikka samaan aikaan "alamaailmassa" pyörii kaikkea muuta sellaista, joka ei koskaan etene suljettujen verkostojen ulkopuolelle). Tosin yleensä tämä haiskahtaa käytännössä lähinnä siltä, että whitehatit ovat lähinnä tehneet verkossa pelleilyn hankalammaksi ja 'sploittaajat ovat tästä katkeria; ja olisi järjetöntä väittää, etteivätkö julkistetut aukot tuottaisi todellisia isoja vahinkoja, etteivätkö tietoturvan parantamisyritykset ehkäisisi myös mahdollisia "salaisia" aukkoja, ja ettäkö verkottuneessa maailmassa salaisuudet todella pitäisivät niin hyvin kuin kaikkiin salaliittoteorioihin uskova voi kuvitella.

Huh? Enpä ole kyllä kuullut että moisista rahaa saisi, ellei jostain kilpailuntapaisesta ole erikseen mainittu. (Miksi kilpailuja mainostettaisiin, jos rahan antaminen olisi vakiomenettely?) Voin tietty erehtyäkin.

Vai onko hän itsekkin hakkeri? Yleensä sellaiset tuollaisen löytävät ensimmäisenä.

Kommentti olikin sarkasmia, jos meni ohi. ;)

Niin, no meitä fiksuja onkin vain rajallinen määrä ;)

Jep jep.
Huonosti suunniteltu koodi kostautuu myöhemmin.

Noista riveistä on kaikki sen murto-osan yli menevästä määrästä kaikki turhia. Huomaahan sen käytössäkin.

Jaa että nytkö minun pitäisi tuntea myötätuntoa mikrosoftia kohtaan kun ovat ensin tehneet tuollaisen kyhäelmän joka on kytköksissä joka ikiseen asiaan windowsissa? Puhuin yleensäkkin asioista enkä pelkästään tästä kyseisestä aukosta. Tottakai aukkoja on ohjelmissa niin kauan kuin ihmiset niitä tekee. Mutta kun IEssä niitä iänvanhojakin aukkoja on vieläkin korjaamatta.

Siinä mielessä olen samaa mieltä että kyllä ne aukot pitää ensin ilmoittaa aina ohjelman tekijälle ja sitten julkistaa päivityksen yhteydessä. Semmoinen ei ole mikkisoftankaan vika että joku vain pläjäyttää haavoittuvuuden internettiin ilmoittamatta ensin mikkikselle itselleen. Mutta toisaalta onhan noita ennenkin annettu MSälle kuukausi aikaa pykätä päivitys mutta ei ole näkynyt niin sitten julkaistu vuoto nettiin. siinä tapauksessa on kaksi puolta, toisaalta MS oli hidas mutta toisaalta olisi silti voitu odottaa että tulee korjaus, mikäli MS on luvannut korjata sen ASAP. Taas toisaalta aukko on hyvä julkaista kaikkien tietoon että ihmiset tietävät siitä ja tekevät sitten itse jotain (esimerkiksi muuri auttaa joissain tapauksissa jne)